La CNIL publie son pack de conformité « véhicules connectés et données personnelles »

Après plusieurs mois de travaux débutés en mars 2016, le pack de conformité « véhicules connectés et données personnelles » de la CNIL est désormais disponible. Des acteurs de la filière automobile, des entreprises de plusieurs secteurs d’activité (assurances et télécoms notamment) ainsi que les autorités publiques ont également participé à son élaboration.

La collecte de données par les véhicules connectés

Un véhicule connecté est un véhicule qui dispose d’un système de communication avec l’extérieur. Il fournit au conducteur et aux passagers plusieurs types de services tels qu’une assistance à la conduite et à la navigation, le diagnostic et la maintenance du véhicule, des divertissements, une aide à la sécurité routière… En contrepartie, les capteurs (GPS, caméras ou système multimédia) collectent un grand nombre de données concernant le conducteur du véhicule ainsi que son interaction avec l’environnement routier.

L’un des principaux enjeux du pack est de sensibiliser les professionnels de l’industrie automobile sur le fait que, parmi l’ensemble des données recueillies, certaines peuvent être à caractère personnel. Or, ces données sont protégées par la Loi Informatique et Libertés et le Règlement général sur la protection des données (RGPD), qui sera applicable dès le 25 mai 2018.

Les données personnelles sont toutes les informations permettant d’identifier une personne physique. Ainsi, une plaque d’immatriculation ou le numéro de série d’un véhicule permettent d’identifier directement une personne, en l’espèce le propriétaire. Cependant même de manière indirecte, d’autres types de données peuvent conduire à l’identification d’une personne. Ainsi, les données d’usage (détail des trajets effectués) ou les données techniques du véhicule (état d’usure des pièces) peuvent être reliées à un individu par croisement avec d’autres fichiers.

Les risques inhérents à la connectivité des véhicules

Pour chaque type de traitements de données personnelles réalisé, la CNIL envisage des risques pour la vie privée des utilisateurs. Ainsi, les données de géolocalisation recueillies sont des données particulièrement révélatrices des habitudes de vie des personnes concernées. En effet, les trajets réalisés peuvent aboutir à la connaissance de l’emploi du temps du conducteur puisqu’il est possible de déduire son domicile, son lieu de travail et même les endroits où il exerce ses loisirs.

L’accès à de telles informations donne la possibilité à des personnes malveillantes de suivre la personne concernée ou même de s’introduire à son domicile en son absence.
Des données considérées comme sensibles pourraient même être déduites de la géolocalisation du conducteur. Notamment sa religion via le lieu de culte ou son orientation sexuelle via les endroits fréquentés. La personne concernée pourrait alors être victime de discrimination. Les données biométriques du conducteur telles que les empreintes digitales ou la reconnaissance vocale peuvent également être collectées, et être utilisées par un malfaiteur pour usurper l’identité du propriétaire à des fins de déverrouillage, de démarrage et d’activation de certaines commandes du véhicule.

Enfin, les assureurs auraient tout intérêt à accéder à certaines informations, qui leur permettraient de mieux cerner le profil de conduite de l’assuré.
Ce risque pourrait survenir en cas de divulgation des données techniques du véhicule par exemple, ou concernant des données susceptibles de révéler certaines infractions. En effet, si la vitesse instantanée est associée à des données de localisation du véhicule et de limitation de vitesse, cela peut permettre d’établir une infraction.
Les assureurs pourraient alors adapter leurs tarifs et leurs offres en fonction des données collectées et faire supporter des coûts supplémentaires aux conducteurs les moins respectueux du code de la route.

Les pistes de la CNIL pour une utilisation responsable des données

Dans le pack de conformité, la CNIL distingue trois hypothèses : selon que les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services (scénario n°1), sont transmises à l’extérieur pour fournir un service à la personne concernée (scénario n°2), ou sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (scénario n°3).

Pour chacun des cas envisagés, des lignes directrices sont proposées aux professionnels afin de se mettre en conformité avec le Règlement général sur la protection des données. Les recommandations portent sur les questions de finalités des traitements, de catégories de données collectées, de durées de conservation, des droits des personnes ou encore des mesures de sécurité à mettre en place.

Ce guide a pour vocation principale d’inciter les industriels à intégrer la protection des données personnelles dès la phase de conception des produits ou services (privacy by design). En effet, le RGPD leur impose de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles.
Ces obligations créent une exigence de responsabilisation des acteurs, dans le but d’assurer la transparence et la maîtrise par les personnes de leurs données.

L’objectif sur le long terme est ainsi d’optimiser les avantages des véhicules connectés tout en assurant la sécurité de la vie privée des personnes. En effet, la confiance des utilisateurs dans ces technologies est une condition essentielle à leur essor.

Le pack n’est pas figé dans le temps, des mises à jour régulières seront effectuées. Il évoluera notamment en fonction de l’application du RGPD en mai 2018. Le progrès de la technologie sera également un facteur de modifications du pack. En effet, pour le moment les voitures autonomes ne sont pas envisagées par le pack.

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article